Bearbeiten Sie abhängig von Ihrer Distribution /etc/fail2ban/jail.conf
den [ssh]
Abschnitt Aktualisieren , um so etwas anzuzeigen
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
bantime = 3600
maxretry = 3
Ändern Sie die Parameter nach Bedarf. Root wird nicht speziell blockiert, aber jeder Versuch schlägt fehl. Sei vorsichtig mit maxretry
und dem bantime
. Wenn Sie mit Ihrem eigenen Passwort versagen, während Sie maxtretry
auf niedrig eingestellt sind, blockieren Sie sich für das bantime
. Starten Sie fail2ban neu.
Ich würde nicht versuchen, die IP für immer zu blockieren, da viele Versuche von dynamischen IPs kommen, die einige legitime Benutzer zu einem späteren Zeitpunkt blockieren könnten.
(Einige Distributionen bieten eine Datei jail.options für Ihre Änderungen an. Dies ist der bevorzugte Ort, an dem Sie Ihre Änderungen vornehmen können, da sie nicht durch Aktualisierungen beeinflusst werden sollten, die die conf überschreiben.)
Kopieren Sie diesen Code in eine neue Datei /etc/fail2ban/filter.d/sshd-root.conf:
BITTE BEACHTEN SIE, dass Sie möglicherweise den Failregex bearbeiten müssen, um fehlgeschlagene Root-Anmeldeversuche genau zu identifizieren. Verwenden Sie:
um zu testen, ob die richtigen Protokolleinträge identifiziert werden.
Dann müssen Sie Ihre jail.local bearbeiten, um den neuen Filter nutzen zu können - fügen Sie Folgendes hinzu:
Natürlich sollten Sie diese Werte an Ihre Bedürfnisse anpassen. Die obigen Einstellungen löschen alle eingehenden Pakete von der fehlerhaften IP-Adresse nach drei Versuchen, sich als Root anzumelden, und geben die IP nach einer Woche wieder frei.
quelle
Da der Standard
/etc/fail2ban/filter.d/sshd.conf
bereits einen regulären Ausdruck für AllowUsers und DenyUsers hat ...Folgendes wird:
exampleusername
von externen IPsroot
oder irgendwelche Verbindungen im lokalen Netzwerk (192.168.0. *)Die Zeile `/ etc / ssh / sshd_config ':
Und in
/etc/fail2ban/jail.conf
:quelle
Wie haben Sie SSH-Anmeldungen blockiert? / bin / false oder die Option sshd_config DenyUsers?
Ich kann mir keine Antwort aus meinem Kopf vorstellen, aber IIRC Denyhosts analysiert die Protokolldatei. Überprüfen Sie also, ob Sie einen fehlgeschlagenen Eintrag in der Protokolldatei erhalten, nachdem jemand versucht hat, sich bei deaktiviertem Root anzumelden
quelle
/etc/ssh/sshd_config
undPermitRootLogin
von Ja zu Nein geändert . Ich weiß nicht, ob dies relevant ist, aber ich habe rssh installiert, damit sich nur bestimmte Benutzer mit sftp anmelden können, ssh jedoch nicht.